| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 9.6 | $0-$5k | 0.00 |
要約
現在、ASN1C 7.0.0にて、重大と分類される脆弱性が確認されています。 この脆弱性により影響を受けるのは、ライブラリ【asn1rt_a.lib】内の関数【rtxMemHeapAlloc】です。 引数の操作が、 メモリ破損をもたらします。 この脆弱性はCVE-2016-5080として知られています。 攻撃はリモートで開始される可能性があります。 この問題の修正にはパッチの適用が推奨されます。
詳細
現在、ASN1C 7.0.0にて、重大と分類される脆弱性が確認されています。 この脆弱性により影響を受けるのは、ライブラリ【asn1rt_a.lib】内の関数【rtxMemHeapAlloc】です。 引数の操作が、 メモリ破損をもたらします。 CWEを用いて問題を定義すると、CWE-190 となります。 この脆弱性は 2016年07月18日に Lucas Molasより「ウェブサイト」のにて 紹介されました。 アドバイザリーは github.com にてダウンロード用に公開されています。 この開示には以下の情報が含まれています:
A vulnerability found in the runtime support libraries of the ASN1C compiler for C/C++ from Objective Systems Inc. could allow an attacker to remotely execute code in software systems, including embeded software and firmware, that use code generated by the ASN1C compiler. The vulnerability could be triggered remotely without any authentication in scenarios where the vulnerable code receives and processes ASN.1 encoded data from untrusted sources, these may include communications between mobile devices and telecommunication network infrastructure nodes, communications between nodes in a carrier's network or across carrier boundaries, or communication between mutually untrusted endpoints in a data network.
この脆弱性はCVE-2016-5080として知られています。 CVEの割当は2016年05月26日で行われました。 攻撃はリモートで開始される可能性があります。 技術的な情報が提供されています。 この脆弱性の人気度は平均より低いです。 現時点で、エクスプロイトツールの価格はおそらく米ドルで約$0-$5kです。
このエクスプロイトツールは 未定義 として宣言されています。 脆弱性は少なくとも42日間、非公開のゼロデイエクスプロイトとして扱われていました。 0-dayの際、アンダーグラウンド市場での想定価格は$0-$5k前後でした。
バージョン7.0.1 , 7.0.2にアップグレードすることで、この問題に対処できます。 この問題の修正にはパッチの適用が推奨されます。
脆弱性は「SecurityFocus (BID 91836) , SecurityTracker (ID 1036386)」等の脆弱性データベースにも文書化されています。
製品
名前
バージョン
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 9.8VulDB 一時的なメタスコア: 9.6
VulDB ベーススコア: 9.8
VulDB 一時的なスコア: 9.4
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 9.8
NVD ベクトル: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: メモリ破損CWE: CWE-190 / CWE-189
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
ステータス: 未定義
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: パッチステータス: 🔍
0day日時: 🔍
アップグレード: ASN1C 7.0.1/7.0.2
タイムライン
2016年05月26日 🔍2016年06月06日 🔍
2016年07月18日 🔍
2016年07月19日 🔍
2016年07月19日 🔍
2016年07月20日 🔍
2016年07月20日 🔍
2025年01月13日 🔍
ソース
勧告: 137970調査者: Lucas Molas
ステータス: 確認済み
確認: 🔍
CVE: CVE-2016-5080 (🔍)
GCVE (CVE): GCVE-0-2016-5080
GCVE (VulDB): GCVE-100-90138
CERT: 🔍
SecurityFocus: 91836 - Objective Systems ASN1C CVE-2016-5080 Heap Based Buffer Overflow Vulnerability
SecurityTracker: 1036386
関連情報: 🔍
エントリ
作成済み: 2016年07月20日 11:47更新済み: 2025年01月13日 04:02
変更: 2016年07月20日 11:47 (58), 2019年03月07日 23:22 (13), 2022年09月09日 07:04 (4), 2025年01月13日 04:02 (15)
完了: 🔍
Cache ID: 216:22F:103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。